在SolarWinds黑客事件之后，企业应该如何应对

在整个2020年，企业总体上都面临着IT挑战。他们不得不匆忙适应突然转向远程工作的情况。然后，他们必须迅速采用自动化技术。

And as the year came to a close, more businesses began trying to assemble the safety infrastructure required to return to some semblance of normal in 2021.

但在今年年底，IT监控软件供应商SolarWinds大规模违规的消息带来了一个新的复杂问题–；二次数据泄露和网络攻击浪潮的可能性。由于SolarWinds的产品在如此多的商业网络中占有一席之地，威胁的规模是巨大的。

 

由于许多受影响的企业没有大公司的资源，这是一个艰巨的任务。

因此，许多公司现在能做的最好的行动就是让他们的网络成为一个更难的目标–；或者至少把他们遭受重大破坏的可能性降到最低。以下是方法：

从基本的安全步骤开始

企业应该做的第一件事是确保他们的网络尽可能内部安全。这意味着将网络资产重新配置为尽可能隔离。

一个好的起点是确保任何主要的业务数据池都遵循所有安全最佳实践，并且在操作上彼此独立。如果未经授权的用户因安全漏洞而获得访问权限，这样做可以限制数据外泄。

但这只是开始。下一步是将网络硬件划分为逻辑安全VLAN，并建立防火墙屏障，以防止它们之间的通信（如果可能）。然后，查看每个组的安全设置，并在必要时进行调整。即使是强化VoIP系统也值得一试，因为你永远不知道网络的哪个部分将被用作更广泛攻击的入口点。

最后但并非最不重要的一点是，回顾员工安全实践和程序。在匆忙推出“在家工作”政策之后，这一点尤为重要。务必确保每个员工都按照既定的安全标准进行操作，并且没有养成任何不良的操作安全习惯。例如，是否有人开始免费使用VPN，认为他们在改善家庭网络安全？

如果是这样，他们需要停下来接受培训，以便在远程工作时做出更好的安全判断。

进行有限的安全审计

在可能的网络入侵后，企业在尝试重新保护安全时面临的一个问题是，没有简单的方法来判断–；如果有的话–；攻击者在获得访问权限后发生了变化。可以肯定的是，漫长而复杂的法医检查是唯一的现实选择。但这可能需要几个月的时间，也可能需要花费大量资金。不过，对于那些甚至不确定自己是否遭遇了违约的小企业来说，有一种更好的方法。

它需要对可能受到影响的系统进行有限的抽样，并进行简单的风险限制审计。从每个业务单元或部门至少两台具有代表性的计算机或设备开始。然后，检查每个问题的迹象。

一般来说，你会寻找：

• 禁用或更改安全和防病毒软件
• 异常系统日志事件
• 缺少安全补丁或自动软件更新出现问题
• 未知或未经批准的软件安装
• 更改文件系统权限

虽然这种类型的审计不能保证你网络上的每台设备都没有问题，但它会发现任何已经发生的重大渗透迹象。对于大多数中小型企业来说，在一开始没有明确证据表明存在主动攻击的情况下，这就足够了。

采取防御措施

在与网络及其用户打交道后，下一步要做的是部署一些防御措施，以帮助进行持续监控和攻击检测。一个很好的起点是在网络中建立一个蜜罐，为潜在的攻击者提供一个不可抗拒的目标。这不仅让他们忙于追踪一个并非关键任务的系统，还可以在真正的攻击发生时作为管理员的早期预警系统。

实现这一点的方法多种多样，从预构建的系统映像一直到更复杂的定制部署。也有云解决方案可用于内部部署硬件不合适或不受欢迎的情况。重要的是建立一个系统，监控可能表明其环境中存在问题的确切行为。

不过，还是要提醒一下。尽管蜜罐是为了成为目标而建造的，但这并不意味着它应该完全处于脆弱状态。这样做的目的是让它成为一个有吸引力的目标，而不是一个简单的目标。而且，确保它不能被用作对实际生产系统进行更大攻击的垫脚石，这一点至关重要。

因此，聘请训练有素的网络安全专业人员来帮助确保系统不会变成安全责任，而不是有价值的防御措施是值得的。

保持警惕

在采取上述步骤后，除了等待和观察，别无选择。不幸的是，没有比保持警惕更好的方法来维护网络安全。在像SolarWinds黑客攻击那样的情况下，企业和IT组织总体上处于显著的劣势。

这是因为他们面对的敌人可能已经在大门内，也可能不在大门内，这意味着他们无法依靠典型的围墙花园安全措施。

因此，随着2021的开始，任何企业可以做的最好的事情就是让他们的安全屋有序，并试图限制损坏，如果他们已经被破坏。

无论如何，这是非常值得的，因为目前的威胁环境只会变得更糟，而不是更好。尽管SolarWinds黑客攻击严重且范围广泛，但它不会是企业必须面对的最后一次重大安全危机。